微软政府桌面安全管理解决方案模板.doc

《微软政府桌面安全管理解决方案模板.doc》由会员分享，可在线阅读，更多相关《微软政府桌面安全管理解决方案模板.doc（28页珍藏版）》请在咨信网上搜索。

微软政府桌面安全管了处理方案 微软（中国） 2024年5月28日 目 录 1 综述 4 1.1 背景 4 1.2 安全需求 4 1.3 设计标准 5 1.3.1 可管理性 5 1.3.2 性能和支持能力 5 1.3.3 系统整合和互用性 6 1.3.4 参考标准和指导方针 6 2 安全体系架构建设 8 2.1 安全体系架构定义 8 2.2 建立层次化安全防御体系 8 2.3 安全体系架构建设要素 8 2.3.1 人-建立安全小组 8 2.3.2 过程-风险评定 10 2.3.3 优化和完善 15 2.4 主机层防御-桌面安全管理 15 2.4.1 桌面安全管理需求分析 15 2.4.2 微软桌面安全管理系统 16 3 桌面安全管理系统详述 18 3.1 产品结构 18 3.2 软硬件资产搜集 19 3.3 软硬件资产报表 19 3.4 补丁管理 20 3.5 应用软件分发 22 3.6 远程访问 23 3.7 AD目录服务集成 24 3.8 高级管理特点 24 4 方案优势 26 4.1 产品优势 26 4.2 技术优势 26 4.3 实施优势 27 5 总结 28 1 综述 实现确保电子政务信息系统安全稳定运行，建立电子政务信息系统安全体系，愈加好为中国“以信息化带动工业化”基础国策，为国民生产发展服务目标。 1.1 背景 电子政务是指政府利用现代电脑和网络技术，将其负担公共管理和服务职能转移到网络上进行，同时实现政府组织结构和工作步骤重组优化，超越时间、空间和部门分隔制约，向社会提供高效优质、规范透明和全方位管理和服务。电子政务实施为政府和组织负担公共管理和服务实现电子化、网络化和透明、高效开辟了宽广空间。然而电子政务信息系统安全问题也变得愈加突出、严重，影响电子政务信息系统功效发挥，甚至对政府部门和社会公众产生危害，严重还将对国家信息安全乃至国家安全产生威胁。认识电子政务信息系统安全威胁，把握系统安全影响原因和要求，建设系统安全保障体系，对确保电子政务有效运行含相关键意义。 1.2 安全需求 电子政务信息系统经过政务信息共享、交流、协作，使电子政务管理活动成为电子政务增值过程：经过该系统实现政府在政治、经济、社会、生活等领域管理服务职能；实现政府决议信息公布和存取，支持决议活动：实现办公业务信息交流和交互式处理，支持政务实施活动，以完成政务活动全过程。然而，电子政务信息系统功效发挥，是建立在系统安全、有效基础上，电子政务信息系统安全是实现系统功效关键所在。为了满足安全需求，赢得挑战，必需建立完善安全体系架构，以适应快速发展业务需求和技术要求。安全体系结构设计目标是为了保护电子政务信息机密性、完整性和可用性。 u 机密性：需要保护，不能向非授权用户公开信息。机密性能够确保只有授权用户才能够访问这些信息，其具体实现方法是在数据处理每个阶段上强制实施必需安全性等级，以预防信息未授权公开。在数据处理各个阶段（驻留在系统中时、在传输过程中驻留在网络间层上时，和抵达目标地后）全部应该维护数据机密一致性等级。 u 完整性：必需进行保护，以使其免受未授权修改、意外修改或是无意识修改信息，如调查统计信息、经济指示器和财务处理数据。数据完整性保护实现方法是对信息正确性和完全性和数据处理方法进行保护，以使其免受未授权修改破坏。 u 可用性：部分特定服务或含有部分特定信息，这些服务或信息全部必需立即提供才能满足关键任务要求或避免造成实际损失。可用性确保网络和信息系统随时可用，运行过程中不出现故障，若遇意外打击能够尽可能降低损失并立即恢复正常。 1.3 设计标准 实现成功安全体系架构，在进行设计时就需要考虑到计划、实施、未来发展等方面关键内容，所以，在设计处理方案时还需要考虑以下内容： “可管理性”，“性能”，“支持能力”，“整合”，“互操作性”，“标准和指导方针”。 1.3.1 可管理性 安全体系结构可管理性是它基础定义特征。在没有监视机制情况下，极难对不可管理安全体系结构进行保护，还可能在不注意时使潜在安全性威胁经过。假如没有诊疗手段，要处理安全性问题会愈加困难。 u 基于角色管理-安全角色群集存在能够确保企业数据机密性、完整性和可用性。 u 系统管理-对安全管理人员而言，集中管理安全性方法既简单又直接，因为它将全部风险全部集中到了一块儿。 1.3.2 性能和支持能力 安全体系结构性能关键取决于实际环境中实施技术和限制。从某首先说，安全是要牺牲一部分性能，一个系统不能为了达成最高安全而造成不可用，比如把应用系统网络连接断掉，锁在机房里，所以人员不可访问；也不能把它放置在公共区域，甚至没有口令保护，全部些人能够做任何操作。安全需要掌握安全和性能平衡点。另外，安全体系架构建设应考虑到现在系统支持能力，和未来一段时间业务发展所带来新负载压力，提供良好扩展能力。 1.3.3 系统整合和互用性 安全体系架构和其支持网络和软件系统体系结构，可能完全不一样，也可能十分统一。安全体系架构设计和布署能够促进服务器和网络设备合并，但在合并时仍需要考虑到数据安全需求，和安全体系结构设计所支持区域结构现有和未来安全需求。 1.3.4 参考标准和指导方针 企业经营对信息技术系统依靠性正在日益增强，所以也更轻易受到这些系统中产生故障影响。为了满足企业安全管理需求，IT 部门需要满足更高要求（快速转变要求、财务限制、安全性和可靠性考虑和连通性要求）。尽管成熟严密技术对于满足相关 IT 服务可靠性、可用性和安全性是很必需，不过光凭技术是不够，还必需含有合理过程和优异人员（技能、角色和责任）。必需含有对安全体系架构设计和布署最好实践及指导方法。 Microsoft 能够充足了解当今企业计算环境所面正确难题，并经过同类最优技术和经验证最好方法指导为企业提供帮助，经过这些技术和方法能够有效地设计、发展、布署、操作和支持以 Microsoft 技术为基础多种处理方案。这些知识来自于 Microsoft 在大规模软件开发和服务操作项目中积累内部 IT 经验和操作经验，来自于其服务顾问在为多种规模和世界各地机构实施项目时积累经验，和来自世界范围内整个 IT 行业最好经验。它们是 Microsoft 操作框架（MOF）和 Microsoft 处理方案框架（MSF）。 Microsoft 操作框架提供指导标准用于计划、布署和维护 IT 操作过程，和支持关键性服务处理方案。 MOF 是一个结构化灵活方法，其基础在于： u Microsoft 咨询和支持小组，和她们在和企业用户和合作伙伴协作过程中积累经验，Microsoft 内部 IT 操作组。 u IT 基础结构库 (ITIL)，它能够介绍用来提交关键服务处理方案所必需过程和最好方法。 u 来自于 International Organization for Standardization (ISO) ISO 15504（又称为 SPICE），它提供了一个标准方法，用于评定软件进程成熟性。 更深入信息，请访问下面 URL： Microsoft 处理方案框架是一个适用性很强软件开发和布署方法，经过它能够在更短时间内成功地交付技术处理方案，而所需人员数量会更少，风险会更低，同时还能带来更高质量结果。MSF 对下述方面进行了说明： u 调整商业和技术目标。 u 制订明确地项目目标、角色和职责。 u 实施迭代式、由里程碑驱动过程。 u 主动风险管理。 u 对改变做出有效地响应。 更深入信息，请访问下面 URL： 2 安全体系架构建设 2.1 安全体系架构定义 组织安全体系架构即人员、步骤和技术整合，以确保组织信息资产得到正确使用，且只有取得授权个人能够使用这些资产。人员、步骤和技术是相互依靠元素，缺乏任何一个全部会增加安全性被攻破潜在可能。 2.2 建立层次化安全防御体系 建立深度防御以使电子政务信息安全得到最大程度保护。深度防御是一个多层方法，它对资源应用多个策略以保护其免受外部和内部威胁。深度防御有时被视为深层安全性或多层安全性，深度防御是描述安全性对策（用于形成一个含有凝聚力安全性环境）层级术语。深度防御策略布署包含全方位保护性方法，从外部路由器直到组织资源所在位置和二者之间全部位置点。 布署多层安全性能够确保在某个层受到损害时，其它层仍能够提供所需安全性用于保护企业信息资源。比如，损坏组织防火墙并不能使攻击者不受限制地访问组织最敏感数据。理想情况下，每一层全部应提供不一样形式安全对策，以阻挡在多个层中使用同一个攻击方法。关键包含有物理层、边缘层、网络层、主机层、应用层、数据层防御。 2.3 安全体系架构建设要素 2.3.1 人-建立安全小组 建立完备技术支持队伍对于确保电子政务安全起着至关关键作用，安全小组在几乎全部 IT 活动中全部发挥着关键作用。 一个信息系统假如其安全基础脆弱话，最终将会受到安全攻击。 依据信息系统和攻击严重程度不一样，结果可能会有所不一样，从困难到数据损失，到收入损失乃至使用寿命缩短。安全小组基础目标在于确保数据保密、数据完整性、数据可用性。安全小组需要不停接收系统，新培训才能适应新挑战，担负起实现电子政务生产安全保障责任。 安全小组关键责任包含： u 帮助监测对 IT 资源进行正确操作。 u 检测入侵行为并预防病毒攻击。 u 提供对拒绝服务病毒保护。 u 要求数据保留和可靠数据处理策略。 u 进行审查跟踪和汇报。 u 提供有效网域安全设计和管理。 u 测试并实施战略安全技术。 u 检测和评定网络弱点。 u 提供快速、实时网络入侵响应。 u 努力满足 Public Key Infrastructure （PKI）技术需求。 u 努力满足 Internet Protocol （IP）安全需求。 u 努力满足身份验证和访问方法需求。 u 努力满足用于策略使用和需求（比如口令策略）。 u 努力满足外部和物理安全性需求（比如对计算机房使用）。 u 努力满足可靠消息服务需求。 u 为企业内部安全计划提供连续不停技术支持和相关专题专门知识。 安全小组需要关键技能包含： u 对安全策略了解力和审查其完整性能力。 u 对业务领域和她们处理数据类型了解力，以改善安全性。 u 在多种服务器上建立共享区域能力。 u 对企业操作平台安全模型深入了解。 u 丰富组网知识。 u 了解病毒和抗病毒方法。 u 兼顾安全问题和生产率问题能力，确保二者全部不因安全策略受到很大减弱。 u 为不一样组用户建立安全配置文件能力。 u 教育并通知职员，使其了解安全步骤能力。 u 出现安全问题时和其它 IT 组合作协商能力。 u 了解保障数据和文件安全方法，比如身份验证和加密，和实现和改善这些方法产品。 u 和提供安全处理方案供给商合作能力，以评定其提供产品。 u 监控职员外出等安全风险能力，帮助维护安全。 u 进行安全检验能力。 2.3.2 过程-风险评定 没有风险评定，风险管理过程，安全建设无从谈起。我们提议采取“安全风险管理标准”指导风险评定工作。 2.3.2.1 资产评定和估价 “资产评定和估价”步骤目标是识别那些假如出现问题便会对电子政务造成不利影响资产。 r 资产识别 识别资产可能很简单，也可能很困难，这全部取决于组织中使用后续采购步骤和资产跟踪机制。 识别资产第一步就是对组织中需要维护数据类型进行分类。比如，硬件设备通常仅包含设备配置数据，这种配置数据只包含一定量数据值。除了包含完全不在同一等级用户和职员数据值外，主机和设备通常还包含部分类似信息。 资产还包含商业秘密、智能财产和专利，全部这些资产在受到危害后，全部会对组织财产造成显著影响。 r 资产估价 识别资产后，还相关键一点，就是要确定以下列术语表示每种资产价值或货币价值： u 物理价值：资产物理价值可经过定义下列信息来确定： ² 硬件成本 ² 软件成本 ² 支持成本 ² 替换成本 u 业务价值：数据业务价值可能基于数据对组织整体财务目标所做出贡献或对外部人员或组织数据价值。通常说来，这种价值极难量化。按相对价值计算，业务价值应该提供数据损失所造成影响和其它资产损失所造成影响对比数据。数据价值通常远远超出存放该数据硬件价值。另外，此价值还可能包含由资产损失所造成资产替换或资产修复成本。 u 间接价值：间接价值可能是最难量化价值。此价值是指损失资产或资产受到危害时，组织在负担负面报道、诉讼、业务流失过程中所损失价值。比如，经过恶意公开用户私人数据而使组织声誉或品牌受到破坏。 u 竞争价值：这是对竞争者数据价值，也是极难量化。它应该反应出外部机构愿意为资产中包含实际数据支付多少货币价值。 资产价值是一个货币数字，用于计算资产预期损失。是上述四种价值总和。 r 资产优先级 识别资产是一个定性过程。确定每层中资产潜在价值时，应谨记组织整体收益业务目标，这有利于定义每层资产优先级 (AP) 和数据类型，方便于将精力集中在优先级最高项目上。需要考虑关键原因包含： u 资产财务价值。 u 构建资产所需成本。 u 保护资产所需成本。 u 支持资产所需成本。 u 恢复资产所需成本。 u 资产竞争价值。 2.3.2.2 安全风险识别 “安全风险识别”步骤包含搜集可用威胁知识、创建目前攻击方法和攻击技术列表，分析可能会被攻击者利用而对组织资产造成破坏系统漏洞和策略漏洞。“安全风险识别”步骤目标是识别可能受到危害组织资产、这些资产所面正确威胁、威胁对资产造成破坏可能性，和威胁破坏对资产所造成影响。此步骤中使用下列术语： u 威胁：潜在危险，通常指可能对资产造成破坏人员、物品或事件。 u 威胁代理：威胁形式，如电脑黑客、入侵者或自然事件，如飓风。 u 漏洞：被威胁发觉为潜在攻击点软/硬件缺点或程序缺点，其中包含攻击成功可能性。 u 攻击脚本：威胁代理用于攻击漏洞方法。 u 风险：资产、威胁、漏洞和攻击脚本组合可量度表现形式。它是指该组合对组织含有潜在影响。 r 安全风险陈说判定 安全风险陈说是对组织现有安全性状态和潜在未实现安全性威胁所造成后果之间关系一个表示。安全风险陈说第一部分被称为“风险条件”，该部分对可能造成伤损坏出现现有情况或潜在威胁进行了描述。风险陈说第二部分被称为“风险结果”，该部分描述了大家不期望出现，由风险条件而造成资产机密性、完整性和可用性损失。安全风险陈说判定是一个为了便于将资产风险进行优先级划分而将风险陈说用更正确陈说来表示过程。下图说明了这一过程。 以下步骤提供了上图所述过程中每一部分具体信息： 1. 以一个风险陈说开始，在前面解释中，风险陈说被定义为“风险陈说判定”一部分。 2. 根据前面具体介绍“威胁分析”过程，使用 0 到 100 尺度为威胁分配一个威胁概率 (TP)，其中 0% 表示威胁概率最低，100% 表示威胁概率最高。威胁概率是潜在威胁代理入侵您环境概率。 3. 使用 1 到 10 尺度分配一个临界因子 (CF)，其中 1 代表最低，10 代表最高。临界因子是对资产组成威胁潜在攻击脚本等级。 4. 使用 1 到 10 尺度为投入力度 (E) 分级，其中 1 代表最低等级，10 代表最高等级。投入力度是指攻击者使用一个特殊攻击代码所需专业技术水平。 5. 确定风险因子 (RF)。风险因子是临界因子除以投入力度所得值。 6. 使用公式 (TP × RF) 来确定威胁频率等级。 7. 使用 1 到 10 尺度为漏洞因子 (CF) 分配等级，其中 1 代表最低等级，10 代表最高等级。漏洞因子 (VF) 是对特殊形式攻击感染能力一个度量。 8. 按 SRMD 过程“资产评定和估价”步骤中所定义内容确定资产优先级 (AP)。 9. 使用公式 (VF × AP) 来确定影响因子 (IF)。 10. 使用公式（威胁频率等级 × 影响因子 / 1,000) 来确定曝光因子 (EF)。曝光因子以百分比形式表示。 2.3.2.3 安全风险分析 定义好组织中风险后，将对这些风险进行分析，以确定应针对哪种威胁对哪种资产加以保护。 r 安全风险概率 此输入是指安全风险陈说中风险条件所描述情况实际发生概率。在对风险划分等级时最好使用数值来表示，因为数值能够提供一个以连续形式表示风险方法。假如安全风险概率为 0，那么威胁将不会形成安全风险。假如概率为 100%，那么威胁肯定组成了安全风险，而且可能是一个已知问题。 r 安全风险影响 安全风险影响是对资产负面影响所造成损失严重性估量，或是对资产失去机密性、完整性或可用性而造成损失量估量。 r 安全风险暴露 安全风险暴露是一个单一数值估量，用于测量资产整体安全风险，其中包含相关实际损失可能性和潜在损失量信息。安全小组使用风险暴露量来对安全性问题进行等级划分。在最简单量化风险分析方法中，将风险概率和风险影响相乘来计算风险暴露。 2.3.2.4 安全风险补救和开发 安全风险对策和操作过程开发对于组织安全策略来说至关关键。经过技术加固过程或经过开发组织范围内策略，能够前摄管理安全风险。安全策略开发过程还包含开发系统、策略过程，和跟踪和汇报未发生安全风险过程。这些机制能够帮助组织确保技术基础设施中预防性方法能够正常工作，并确保新安全策略和过程有效。 2.3.3 优化和完善 安全系统建立非一日之功，是一个长久连续建设过程。企业业务需求随市场改变而改变，新技术出现，新系统投产，新安全问题、漏洞、攻击手段出现，全部要求我们不停学习、调整、优化安全系统，定制新安全防范方法。我们可使用循环而且结构化五阶段步骤来实施风险管理，这五个阶段是：识别、分析、计划、跟踪和控制。 2.4 主机层防御-桌面安全管理 深度防御安全体系架构各层面包含不一样内容安全防御手段和技术，这里不做过多赘述，本文关键就微软桌面安全管了处理方案做出介绍。 2.4.1 桌面安全管理需求分析 r 资产和风险管理 建设电子政务安全体系架构安全要素中，资产统计和漏洞分析起到基础作用。没有正确资产统计和漏洞分析数据，对于数量庞大桌面系统，绝大多数使用操作系统为Windows系列操作系统，安全管理无从谈起。 u 集中弱点管理 u 自动软件资产到弱点对比-对比资产细节，同时用一个有效弱点数据库正确地列出影响资产弱点。自动进行繁重手工过程，节省时间和成本，消除人为错误可能性。 u 自动发觉/自动资产库存和清单-确定资产，从版本到Hotfix等级，对运行在资产上面应用进行正确盘存。自动跟踪资产和应用。另外，它还提供用于弱点管理实时正确盘存，支持对新威胁实时反应。 u 动态代码和内容更新-根据用户确定更新时间安排，动态地更新资产和漏洞特征数据库。提供立即数据，降低维护应用成本，反应愈加快。 u 统计分析 ² 各资产安全补丁更新状态； ² 各严重程度等级漏洞数量分布； ² 各严重程度等级漏洞在各类型资产中分布； ² 各严重程度等级漏洞在各资产中分布； ² 每个月新发觉漏洞数、消除漏洞数、残留漏洞数等等。 r 软件正版化管理 中国政府越来越重视知识产权保护问题，各级政府部门正在进行或已完成软件正版化工作。在这种情况下，确保电子政务系统满足正版化要求，也成为桌面安全管理关键内容。同时，经过限制各类非正版软件安装使用，也避免了更多系统漏洞出现和病毒攻击条件。 u 自动软件资产统计-自动进行软件信息搜集、汇总和统计，包含操作系统和各类应用软件； u 软件计量-进行软件使用统计，计量License。 r 系统加固 电子政务系统中数量庞大桌面系统，绝大多数使用操作系统为Windows系列操作系统，很轻易受到多种针对微软产品病毒攻击，而且危害大、传输速度快、隐蔽性强、暴发频繁已经成为新型病毒四大特点。打补丁是预防病毒利用系统漏洞实施攻击最好防护方法，同时能够预防黑客利用漏洞实施入侵。 u 自动补丁下载/安装-立即更新系统及应用补丁，预防网络安全威胁。 2.4.2 微软桌面安全管理系统 基于微软系统管理服务器System Management Server (SMS) 构建，Systems Management Server（SMS）为基于Microsoft Windows®桌面计算机和服务器系统提供了极具成本效益、可伸缩性资产和补丁管理。Systems Management Server和Microsoft SQL Server™和Windows Server和Windows Server操作系统完全集成--使其在任何规模网络中全部轻易安装、配置和维护。关键提供功效包含： u 对计算机软硬件资产自动扫描发觉 u 统计分析系统存在漏洞 u 自动下载最新补丁包并依据各系统基于MBSA扫描结果安全漏洞进行更新安装 u 可自动分发安装其它应用程序 u 可支持断点续传及管理节点冗余 u 对用户端进行远程诊疗管理 u 定制生成资产及软件或补丁分发管理报表 3 桌面安全管理系统详述 Systems Management Server 提供了集中式变更和配置管了处理方案，以帮助IT管理人员大大简化对基于Windows操作系统PC设备进行自动化管理，分发最新软件、立即更新系统和应用补丁、远程技术支持、软硬件资产跟踪统计等。 3.1 产品结构 SMS 完全能够适于管理各级部门分布于不一样网络内大量桌面系统，它使用了一个许可本身超越当今已知规模最大用户环境实现扩展分布式、层级化体系结构。因为Systems Management Server早期产品版本就已被成功用来对由数十万基于Windows平台之PC系统组成环境实施管理，所以，这种体系结构可谓“久经考验”。 r 站点层级模型 在大规模环境下，IT部门可配置多个SMS站点，方便使体系结构适应不一样网络结构。SMS基础构建模块是站点服务器。每个SMS环境最少需要一台站点服务器，而管理人员则可依据实际需要配置多台站点服务器。这就许可为节省带宽资源、分散工作负载并提供冗余支持而对站点服务器实施战略布署。最少有一台站点服务器应被指定为主控服务器，并配置用来存放配置和操作数据SQL Server数据库。除此之外附加站点既能够是主控站点服务器，又能够是辅助站点服务器；所不一样是，辅助站点服务器无需配置SQL Server数据库和当地管理支持。 3.2 软硬件资产搜集 SMS能够搜集基于Windows桌面系统全部软件和硬件信息，如操作系统版本、安装Office、SAP软件、内存、CPU、网卡信息等。多种多样汇报将基于结果数据生成，以帮助组织机构制订软件升级计划，跟踪计算机和软件资产，或检验软件许可证有效性。 举例来说，在布署某个新软件包之前，管理人员可能需要编制一份汇报，方便显示含有足认为相关应用提供支持内存和磁盘空间目标PC设备数量。这就许可那些不符合要求系统在布署开始前得到升级，从而，确保实现较高项目整体成功率。 从Windows 98开始就已被内建于Windows操作系统Windows管理规范（WMI）提供了组成扩展使用情况信息。SMS借助WMI提供内容尽可能丰富系统数据集（包含BIOS、主板和封装数据）。 3.3 软硬件资产报表 SMS提供了包含120多个预建汇报模板在内Web汇报服务，和在管理人员控制下利用自定义汇报对上述预建汇报进行扩展选择。已经提供标准汇报包含多个目录、软件使用活动和SMS操作选项。SMS Web汇报服务还提供了深层挖掘特征，用户只需在自己感爱好汇报中点击某一行，即可深入调阅底层汇报。每个底层汇报均可为管理人员提供更多具体信息，直到相关单个计算机或用户完整目录信息被全部显示出来。SMS提供灵活查询汇报方法，能够检验全部用户端补丁安装情况，也能够就某一安全补丁查询全部用户端安装情况，同时还能够依据自定义分类来灵活查询。 3.4 补丁管理 SMS安全修补程序管理特征将参考统计着已公布关键更新Microsoft网上在线数据库对全部受控系统上已安装软件进行检验，并就每台受控计算机所需安全修补程序做出汇报。管理人员可借助一个向导程序自动下载最新修补程序，并将其布署至需要它们目标系统，从而，实现依据实际需要安排布署计划、定位布署对象，提升补丁安装成功率。建立保障系统安全运行补丁分发体系，对于保障电子政务网络安全含相关键意义，能够最大程度降低因为系统漏洞造成病毒攻击或黑客入侵。 r 取得最新补丁公布消息/获取补丁起源 为了立即了解补丁公布情况，补丁管理员应该参考完成下列工作： u 在 订阅安全公告电子邮件通知（你能够选择汉字电子邮件通知）； u 定时查阅最新安全公告，立即查阅微软安全服务信息，进行补丁分发工作； u 假如SMS服务器不能连接Internet，需要定时下载最新安全补丁列表服务器上； u 当有新安全公告公布后，评定它对企业内部环境影响并决定是否安装该安全补丁； u 若决定安装该安全补丁，下载该安全补丁(若该补丁对不一样操作系统有不一样文件，则不一样操作系统补丁全部要下载)并先在测试试验室中计算机上布署； u 该安全补丁经过测试后，正式布署到企业中全部计算机； u 检验安全补丁分发结果，定时生成报表。 r 补丁分发机制/自动识别版本 经过网络管理员对不一样系统集合管理和定制，结合补丁分析Microsoft Baseline Security Analyzer 即Microsoft 基准安全分析器MBSA（以下简称MBSA工具）扫描，能够让系统自动识别软件版本情况。MBSA 能够经过引用 Microsoft 不停更新和公布可扩展标识语言XML文件（mssecure.xml），来确定将哪些关键安全更新应用于系统。该 XML 文件包含哪些安全更新可用于特定 MIcrosoft 产品信息。该文件包含安全公告名称和标题和相关特定产品安全更新具体数据，其中包含：每个更新程序包中文件及其各个版本和校验和、更新安装程序包所应用注册表项、相关哪些更新可替换其它更新信息和 Microsoft 知识库中相关文章编号等等。 r 新机器或长时间关机机器自动补丁升级 对于新机器和部分很久没有连入网络机器而言，经过网络发觉后，使用软件安全策略，在发觉这些机器不符合企业网络安全要求时，网络补丁服务器将自动把补丁发到这些机器上，而且在这些机器安装完补丁前，将严禁这些机器在网络中权限和使用。 在普遍连接实现之前，商务旅行者仍将继续利用缓慢、不可预知网络连接来开展她们业务。SMS一样能够管理以确保对关键业务应用程序访问并保持最新安全配置，同时还向IT人员提供给用程序配置、状态和使用情况等方面信息。 r 补丁分级发送 对于复杂网络架构，因为网络带宽和管理策略要求，可能需要建立补丁分级分发模式，SMS在建立多级架构时，能够在各级分发服务器自动完成补丁分发同时操作，优化网络带宽使用。 3.5 应用软件分发 SMS特征集一项关键优势一直是该产品针对基于Windows操作系统之桌面计算机、笔记本电脑和服务器强大而灵活软件布署支持。管理人员可基于中央控制台在将软件包布署至遍布网络系统目标计算机时对它们实施封装、复制、定位、推荐和跟踪。软件包还可在许可最终用户干预或无需最终用户干预情况下实现布署，而任何IT支持人员均无须亲身前往目标系统。不管软件产品是像Windows XP Professional这么操作系统、像Microsoft Office这么完整应用套件，还是由第三方厂商提供或自行编写日常商务应用，亦或较为关键Windows系统更新，SMS均可借助简单易用界面、向导和和操作系统服务之间高度集成大幅降低确保软件处于即时更新状态所需付出工作量。 举例来说，管理人员可借助SMS将一个新服务软件包布署至企业范围内基于Windows NT操作系统全部服务器。安装服务软件包所必需源文件被首先复制到遍布全球SMS站点，这有可能借助非高峰时段内网络WAN链接得以实现。而软件包实际安装则可被安排在非高峰时段分别针对全球范围内每个办公机构实施。每台计算机均可利用网络系统上距离最近拷贝实施服务软件包安装操作，并将由此产生网络流量控制在最低水平。 在各级网络以当地方法布署SMS并配置多个带宽管理特征分布式体系结构许可在不会造成网络超负荷运转、关键业务通讯中止或为用户带来不便前提下轻而易举地将软件布署至规模极大应用环境。状态汇报许可管理人员在任何安装问题发生第一时间对它们做出突出标识，并在此基础上快速采取补救方法避免出现类似故障，从而，为大规模布署方法提供更高水平援助支持。 3.6 远程访问 管理员日常工作中有大量工作是对桌面系统使用问题或故障提供技术支持，SMS 提供了一系列信息技术支持工具让管理员进行远程访问，提升支持效率，降低工作负担。这些工具包含： u 远程开启——当管理员为一个远程用户端提供支持时候，她们可能需要重新开启用户端来测试开启过程中作出改变，或调入一个新配置，或在一个用户端计算机因为硬件或软件误操作而被锁住以后而重新开启。经过使用远程开启工具，管理员能够重新开启用户端计算机。 u 远程对话 ——经过远程对话工具，管理员能够和任意用户端计算机用户进行对话。当一个管理员开启一个会话进程时，在Systems Management Server Administrator计算机和被选中用户端计算机上全部将出现远程对话窗口。当管理员或用户端上用户在自己窗口中键入文字时，在对方窗口中将出现相同内容。 u 文件传输——使用文件传输工具，管理员能够在基于 Systems Management Server控制台计算机和被选中用户端计算机之间传输文件。 u 远程实施——远程实施功效能够让管理员在远程基于Windows用户端计算机上运行应用程序或批处理文件。当管理员用远程实施而不是远程控制工具时，用户看不见被实施命令行，而且命令实施也愈加快速。 3.7 AD目录服务集成 SMS支持和Active Directory之间高度集成将许可管理人员依据组织单位组员资格、用户组、计算机组乃至Microsoft Exchange 分发列表等非安全对象进行软件布署定位。 这种Active Directory支持实现路径为：发觉和目录附带之全部用户和计算机相对应对象组员资格，并将这些组员资格作为属性添加到由SMS数据库存放目录数据当中。管理人员将可经过和硬件或软件目录属性使用方法完全相同路径借助这些Active Directory属性创建目标集合。 管理人员可对Active Directory搜索进程实施定制化处理，选择不一样日程计划，并将所需实施搜索Active Directory层级组成部分纳入定位范围。这种粒度控制将确保目录整体性能不会受到搜索进程重大影响。 SMS还可借助Active Directory面向网络系统上用户端公布特定SMS服务和服务器所处位置。SMS能够将Active Directory用作定位服务，并在此基础上简化用户端操作，并尽可能降低用户端服务搜索期间产生网络流量。 另外，SMS站点界限可在逻辑上和Active Directory站点定义相对应。Active Directory站点定义特征许可管理人员使用子网通配符定义站点边界，这就许可将覆盖面较大IP地址轻松集成到SMS站点界限集合当中。 u 提供高级安全模式，提升SMS安全保障 u 自动桌面系统发觉及SMS用户端安装，节省时间，避免网络发觉压力 3.8 高级管理特点 r 支持补丁和应用分发断点续传 SMS使用BITS（后台智能传输服务），对于检验点/重启情况均可处理。一度被中止用户端文件下载进程将可随网络连接重建实现断点续传。BITS可提升文件传输速度，改善恢复功效并降低网络带宽损耗。BITS在用户端和服务器之间传输文件，并向用户端返回文件上载和下载操作进度信息。BITS 并发前台传输使用全部带宽来支持多个作业文件传输，而只使用空闲带宽来支持后台传输。假如文件传输过程被中止，BITS 能够正确地从中止点恢复文件传输，而不是重新传输整个文件。因为 BITS 能够正确地从中止点重新开始传输，所以在发生诸如网络中止和计算机重启等故障时，能够有效地恢复全部传输。 BITS提供以下功效： u 实施并发前台下载。 u 支持远程名称服务器消息块 (SMB) 协议。 u 支持文件范围下载。它是一个可更改文件传输源程序。 u 降低用户端带宽消耗。 r 网络带宽感知 自动检测用户端网络连接容量并有效地调整传输速率，使传统台式机和移动PC全部能以一个带宽感知方法下载软件。在其它服务开始使用共享链接时，下载速度将得到动态调整。还能够配置为不在连接时安装应用程序和更新，而是下载整个程序包，在以后运行安装程序，即使当初网络已不可访问，也不受影响。SMS高级用户端借助后台智能传输服务（BITS）技术自动检测用户端网络连接带宽，并以高效方法对传输速率进行调整。当使用共享链接其它服务开启时，下载速率会以动态方法接收调整，方便将SMS网络流量降至后台水平。避免业务数据传输受到影响。 r 增量内容复制 当一个应用软件出现升级版本时，可能只是更新其中某个文件，假如需要重传整个软件包，会对网络利用形成极大浪费。SMS提供了增量软件包复制特征，增量软件包复制特征可在无需重传送整个更新软件包映象前提下，在站点间对软件包修改内容进行复制。 4 方案优势 4.1 产品优势 多年来，IT管理人员一直成功利用Microsoft® Systems Management Server对组织机构内部基于Windows®操作系统桌面计算机和服务器实施管理。多年来，伴随企业机构中Windows PC布署数量大幅增加，SMS已帮助IT管理人员在支持PC和应用布署规模连续扩张同时，有效控制分布程度如此之高系统管理成本，并将总体拥有成本保持在较低水平。 当然，伴随新技术不停得到采取和PC应用配置日趋复杂化，基于Windows操作系统PC设备布署环境也处于连续改变之中，SMS专门设计用来对这些发生在PC领域内改变趋势进行追踪并提供支持，同时，面向新兴应用情境和技术手段提供支持。 4.2 技术优势 SMS为处理和处理企业桌面安全管理需求提供了一款综合处理方案。 u 简单高效布署模式-SMS尤其适适用于大型企业、机构布署实施，项目困难和成本可能会随企业规模而增加， SMS支持多层次企业架构，上、下级系统数据可依据系统管理需求进行汇聚；并可在中心节点（主站点）实施全网统一配置、管理策略。 u 有效管理-SMS是 Microsoft Corporation 针对 Windows 系统变更和配置管理策略性处理方案。伴随硬件和软件资产成为 IT 预算一个大组成部分，在连续交付关键业务功效同时，组织也在愈发努力地寻求降低这些成本方法。SMS 经过降低管理和布署软件整体操作成本实现了这一目标。 u 了解软件资产-伴随各级组织对降低成本日益关注和正版化管理要求，正确跟踪软件生命周期和保持符合供给商许可策略已成为组织必需含有能力。SMS 提供了一个集成方法，不仅能够了解安装了哪些种应用程序，还能同时跟踪应用程序使用情况。将为您节省可能购置新应用程序潜在成本；保持现有产品合规性并有效地淘汰无用应用程序，使组织能够用我所购，购我所需。 u 保障系统安全-未能成功实施综合性安全修补程序管理策略可能对安全产生严重后果，如关键业务系统可能出现故障，或安全等级较高系统可能被恶意利用，全部这些全部可能造成生产力、时间、业务应用程序访问方面损失和随之而来其它影响。SMS提供经过检验、管理更新布署处理方案，不仅提供一系列工具和过程，使组织能够快速、方便地确定基于Windows系统是否需要关键更新，还为组织提供了在其环境中测试和可靠布署这些